信息安全案例:不安全的“安全密碼”
2011年七月,處理了一起服務(wù)器入侵事件,這起事件可以說是非常普通的入侵案件,每年都會處理很多起,也沒有什么技術(shù)含量,只是這起案件帶來了一些對安全的思考。因為前幾天寫的一個案例被楊泉老師說要作為案例在
2011年七月,處理了一起服務(wù)器入侵事件,這起事件可以說是非常普通的入侵案件,每年都會處理很多起,也沒有什么技術(shù)含量,只是這起案件帶來了一些對安全的思考。因為前幾天寫的一個案例被楊泉老師說要作為案例在講課時候進行介紹,為了給以后的各位老師們提供素材,所以準備逐步把自己做這么多年安全中遇到過的案例逐步寫出了,給各位CISP老師和其他信息安全培訓(xùn)講師做參考。 事件起因非常簡單:管理員發(fā)現(xiàn)一臺服務(wù)器被入侵,但是不知道如何被入侵的,正好此單位信息化領(lǐng)導(dǎo)是朋友,請我去幫忙看看。簡單了解了一下情況,服務(wù)器前有 防火墻,只開放了80、3389端口,服務(wù)器補丁打全了。按照老習(xí)慣懷疑可能SQL注入,但是看web日志前,習(xí)慣性的先簡單看了看服務(wù)器日志,發(fā)現(xiàn)服務(wù) 器安全日志中存在多個互聯(lián)網(wǎng)IP地址從遠程終端登錄的記錄,甚至有在夜間的。于是問了一下管理員和開發(fā)商人員,在記錄的時間段內(nèi)是否進行過登錄,回答均沒 有在那個時間登錄過,初步判斷可能是密碼被猜出來,攻擊者直接從終端服務(wù)進行了遠程登錄,登錄到系統(tǒng)上進行了操作。
問管理員密碼情況如何,管理員說我們密碼安全性應(yīng)該比較好,有字母、有特殊字符,而且12位長,問之什么密碼,答約:zaq12wsxZAQ!@WSX。 大家看起來應(yīng)該比較復(fù)雜,仔細看一下你的計算機鍵盤,其實就是最左邊的一排鍵,從下按到上,兜一圈按下來,然后按著shift鍵再重按一次。自認為聰明的 管理員啊,這種密碼的設(shè)置方式,攻擊者都知道了,不再是安全的密碼了,案例非常簡單,似乎沒有什么參考價值,其實其中牽涉到了密碼設(shè)置的問題。
賬號密碼設(shè)置是信息安全中最基本的安全措施,盡管非常簡單,但是任然有大量的安全事件與密碼有關(guān),如何設(shè)置一個好的密碼,其實是一門學(xué)問。很多安全資料。 都提到設(shè)置密碼,提到的都是多少位長度、大寫字母、小寫字母、數(shù)字都有,但上面案例中管理員設(shè)置的密碼似乎都符合以上要求,長度夠、復(fù)雜度夠。但仍然不是 安全的密碼。因為這種密碼對于純粹窮舉的暴力破解是很好的,但是對結(jié)合了社會工程學(xué)的口令破解方式,這種密碼就屬于安全性不足的密碼了。 好的密碼應(yīng)該包含兩個特點:自己很好記、別人不好猜。 案例中的管理員設(shè)置的密碼符合了第一條,沒有符合第二條,所謂不好猜應(yīng)該指的是不好推理出來,使用電話號碼、生日作為密碼的就明顯不符合不好推理的情況, 攻擊者可以通過收集目標信息從而推理出來,還有就是必須無規(guī)律,案例中的管理員就是使用了規(guī)律的密碼,構(gòu)成密碼的字符在鍵盤上是順序排列的,也就意味著有 規(guī)律可循、可以推理出來,因此不是好密碼。
還有些管理員設(shè)置了很復(fù)雜的口令,的確無規(guī)律,不可推理,能有效的應(yīng)對攻擊者的口令破解,但是大多很難記憶,不符合第一條要求。由于不好記憶,于是管理員 會將口令保存在excel表中、存放在自己的個人電腦中,或者記在筆記本里面,這也為口令的保管帶來了另外的安全威脅(這種做法的風(fēng)險下次通過另外一個案 例進行介紹)。但如果僅僅把密碼記憶在腦中,又存在由于時間長而忘記口令的情況(我每年大約也處理2~3次因為口令過于復(fù)雜,忘記口令無法進入系統(tǒng),最后 只能破解進入系統(tǒng)的情況)。
如何設(shè)置一個好的口令的例子:記憶一句話,例如,我的生日是10月28日,由此生成密碼,取拼音的第一個字母:wdsrs10y28r,再做略微變形,如在最后加個感嘆號,第一個字母大寫等,最后密碼為:Wdsrs10y28r! 密碼具有足夠的安全性,并且也不容易忘記,只要你記住這句話,甚至你將這句話記在筆記本上也比你直接記密碼好。 另外,推薦采取密碼信封的方式,在系統(tǒng)上設(shè)置一個非常復(fù)雜的用戶名和口令,無需記憶,將它寫在一張紙,封在信封中,保存在安全的地方,例如保險柜中,當(dāng)系統(tǒng)發(fā)生問題時,或者緊急情況下,由相關(guān)人員授權(quán)開啟信封,獲得進入系統(tǒng)的權(quán)限。
總之:密碼是信息系統(tǒng)的安全的根本,設(shè)置一個好的密碼能解決很多安全問題,請不要輕視密碼的設(shè)置,牢記好的密碼兩個特點,自己很好記、別人不好猜,兩者缺 一不可。非常的期望今后再有人找我處理被入侵的服務(wù)器,不要再是密碼這種簡單的原因所導(dǎo)致的。安全,業(yè)務(wù)并不復(fù)雜,從設(shè)置好你的密碼開始。
問管理員密碼情況如何,管理員說我們密碼安全性應(yīng)該比較好,有字母、有特殊字符,而且12位長,問之什么密碼,答約:zaq12wsxZAQ!@WSX。 大家看起來應(yīng)該比較復(fù)雜,仔細看一下你的計算機鍵盤,其實就是最左邊的一排鍵,從下按到上,兜一圈按下來,然后按著shift鍵再重按一次。自認為聰明的 管理員啊,這種密碼的設(shè)置方式,攻擊者都知道了,不再是安全的密碼了,案例非常簡單,似乎沒有什么參考價值,其實其中牽涉到了密碼設(shè)置的問題。
賬號密碼設(shè)置是信息安全中最基本的安全措施,盡管非常簡單,但是任然有大量的安全事件與密碼有關(guān),如何設(shè)置一個好的密碼,其實是一門學(xué)問。很多安全資料。 都提到設(shè)置密碼,提到的都是多少位長度、大寫字母、小寫字母、數(shù)字都有,但上面案例中管理員設(shè)置的密碼似乎都符合以上要求,長度夠、復(fù)雜度夠。但仍然不是 安全的密碼。因為這種密碼對于純粹窮舉的暴力破解是很好的,但是對結(jié)合了社會工程學(xué)的口令破解方式,這種密碼就屬于安全性不足的密碼了。 好的密碼應(yīng)該包含兩個特點:自己很好記、別人不好猜。 案例中的管理員設(shè)置的密碼符合了第一條,沒有符合第二條,所謂不好猜應(yīng)該指的是不好推理出來,使用電話號碼、生日作為密碼的就明顯不符合不好推理的情況, 攻擊者可以通過收集目標信息從而推理出來,還有就是必須無規(guī)律,案例中的管理員就是使用了規(guī)律的密碼,構(gòu)成密碼的字符在鍵盤上是順序排列的,也就意味著有 規(guī)律可循、可以推理出來,因此不是好密碼。
還有些管理員設(shè)置了很復(fù)雜的口令,的確無規(guī)律,不可推理,能有效的應(yīng)對攻擊者的口令破解,但是大多很難記憶,不符合第一條要求。由于不好記憶,于是管理員 會將口令保存在excel表中、存放在自己的個人電腦中,或者記在筆記本里面,這也為口令的保管帶來了另外的安全威脅(這種做法的風(fēng)險下次通過另外一個案 例進行介紹)。但如果僅僅把密碼記憶在腦中,又存在由于時間長而忘記口令的情況(我每年大約也處理2~3次因為口令過于復(fù)雜,忘記口令無法進入系統(tǒng),最后 只能破解進入系統(tǒng)的情況)。
如何設(shè)置一個好的口令的例子:記憶一句話,例如,我的生日是10月28日,由此生成密碼,取拼音的第一個字母:wdsrs10y28r,再做略微變形,如在最后加個感嘆號,第一個字母大寫等,最后密碼為:Wdsrs10y28r! 密碼具有足夠的安全性,并且也不容易忘記,只要你記住這句話,甚至你將這句話記在筆記本上也比你直接記密碼好。 另外,推薦采取密碼信封的方式,在系統(tǒng)上設(shè)置一個非常復(fù)雜的用戶名和口令,無需記憶,將它寫在一張紙,封在信封中,保存在安全的地方,例如保險柜中,當(dāng)系統(tǒng)發(fā)生問題時,或者緊急情況下,由相關(guān)人員授權(quán)開啟信封,獲得進入系統(tǒng)的權(quán)限。
總之:密碼是信息系統(tǒng)的安全的根本,設(shè)置一個好的密碼能解決很多安全問題,請不要輕視密碼的設(shè)置,牢記好的密碼兩個特點,自己很好記、別人不好猜,兩者缺 一不可。非常的期望今后再有人找我處理被入侵的服務(wù)器,不要再是密碼這種簡單的原因所導(dǎo)致的。安全,業(yè)務(wù)并不復(fù)雜,從設(shè)置好你的密碼開始。
責(zé)任編輯:葉雨田
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)